Формат ELF
Что такое Формат ELF?
Формат ELFExecutable and Linkable Format — стандартный бинарный контейнер для исполняемых файлов, объектных модулей и разделяемых библиотек в Linux, BSD и большинстве систем семейства System V Unix.
ELF (Executable and Linkable Format) — двоичный формат, определённый System V ABI и используемый Linux, FreeBSD, OpenBSD, Solaris и многими встраиваемыми системами. Файл ELF содержит ELF-заголовок, таблицу программных заголовков, описывающую загружаемые во время выполнения сегменты, и таблицу секций, которой пользуются линкеры и отладчики (.text, .rodata, .data, .dynsym и др.). Инструменты безопасности парсят ELF, чтобы проверить ASLR (PIE), NX, RELRO и стек-канарейки, а реверс-инженеры и аналитики вредоносного ПО изучают секции и dynamic tags для выявления упаковщиков, перехватов через LD_PRELOAD, перезаписей GOT и ROP-гаджетов.
● Примеры
- 01
Запуск readelf -a и checksec для Linux-бинарника, чтобы убедиться, что включены PIE, NX и Full RELRO.
- 02
Злоумышленник модифицирует .got.plt процесса ELF, перенаправляя вызов библиотеки на вредоносный код.
● Частые вопросы
Что такое Формат ELF?
Executable and Linkable Format — стандартный бинарный контейнер для исполняемых файлов, объектных модулей и разделяемых библиотек в Linux, BSD и большинстве систем семейства System V Unix. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Формат ELF?
Executable and Linkable Format — стандартный бинарный контейнер для исполняемых файлов, объектных модулей и разделяемых библиотек в Linux, BSD и большинстве систем семейства System V Unix.
Как работает Формат ELF?
ELF (Executable and Linkable Format) — двоичный формат, определённый System V ABI и используемый Linux, FreeBSD, OpenBSD, Solaris и многими встраиваемыми системами. Файл ELF содержит ELF-заголовок, таблицу программных заголовков, описывающую загружаемые во время выполнения сегменты, и таблицу секций, которой пользуются линкеры и отладчики (.text, .rodata, .data, .dynsym и др.). Инструменты безопасности парсят ELF, чтобы проверить ASLR (PIE), NX, RELRO и стек-канарейки, а реверс-инженеры и аналитики вредоносного ПО изучают секции и dynamic tags для выявления упаковщиков, перехватов через LD_PRELOAD, перезаписей GOT и ROP-гаджетов.
Как защититься от Формат ELF?
Защита от Формат ELF обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Формат ELF?
Распространённые альтернативные названия: Executable and Linkable Format, ELF.
● Связанные термины
- appsec№ 639
Mach-O
Mach-O — это родной формат исполняемых файлов, объектных модулей и разделяемых библиотек macOS, iOS, watchOS и tvOS для бинарников, собранных в инструментарии Apple.
- appsec№ 809
Формат PE
Portable Executable — формат двоичных файлов Windows для .exe, .dll, .sys и .ocx, происходящий от более старого формата объектных файлов COFF.
- vulnerabilities№ 131
Переполнение буфера
Ошибка безопасности памяти, при которой программа пишет за концом выделенного буфера, повреждая соседнюю память и часто открывая возможность выполнения кода.
- forensics-ir№ 650
Анализ вредоносного ПО
Структурированное исследование вредоносного образца для понимания его функциональности, происхождения, индикаторов компрометации и воздействия на затронутые системы.
- forensics-ir№ 926
Обратная разработка
Процесс дизассемблирования и анализа скомпилированного ПО, прошивок или аппаратного обеспечения с целью восстановления их устройства, поведения и внутренней работы.